이달 2일 LG유플러스는 인공지능(AI) 통화 앱 '익시오' 가입자가 100만명을 돌파했다고 알렸습니다. 하지만 공교롭게도 이 날은 익시오 사용자 36명의 통화 정보가 101명의 다른 사용자에게 유출되는 사고가 발생한 날입니다. 익시오는 SK텔레콤 '에이닷'에 비해 후발 주자입니다. 에이닷이 통화녹음 기능을 앞세우며 시장을 선도해 나갈 때 LG유플러스는 익시오가 온디바이스(내장형) AI라는 차별점으로 보안에 강하다고 홍보해 왔습니다. 하지만 이번 사고로 익시오 가입자들의 불안은 커지고 있습니다.
◇ 가입자 늘어 속도 개선하려다 오류로 정보 유출
9일 LG유플러스에 따르면 이번에 유출된 통화 정보는 36명의 일부 △상대방 전화번호 △통화 시각 △통화 내용 요약입니다. 통화 정보 유출 형태는 익시오 사용자 A의 휴대폰에 전혀 모르는 익시오 사용자 B 등의 정보가 뜬 것입니다. 36명의 정보가 익시오를 새로 설치하거나 재설치한 이용자 101명에게 노출된 것이죠.
통화 정보가 유출된 경위는 회사가 늘어난 이용자들을 위해 서비스를 개선하다 발생했습니다. LG유플러스는 지난 2일 오후 8시부터 8시35분까지 익시오 운영 개선 작업에 들어갔습니다. 최근 익시오 이용자 수가 늘어나면서 느려진 서버 속도를 높이는 업그레이드를 진행한 것입니다. 익시오 앱을 재설치할 때 최근 통화 이력과 요약을 복원하는 시나리오에서 정보를 중복해서 호출하는 행위를 개선하는 작업을 한 것입니다. 이때까지만 해도 회사는 오류가 난 줄 전혀 몰랐습니다.
정보유출 사고는 고객의 신고로 알려지게 됩니다. LG유플러스의 한 고객은 지난 3일 오전 10시 22분 익시오 화면에서 본인의 통화 기록이 아닌 다른 이용자의 통화 내용을 발견해 이를 앱 내 고객의소리(VOC)에 신고했습니다. LG유플러스는 고객 문의가 있은 후 40여분 내 익시오 서비스 개선 작업을 원복하며 오류 해소를 일단락했습니다.
이후 3차례에 걸쳐 101명의 이용자가 다른 익시오 이용자의 통화 기록을 볼 수 없도록 앱 접근을 차단했습니다. LG유플러스는 정보가 유출된 고객 36명에게 전화로 안내를 하고, 연락이 어려운 고객에게는 문자 등을 통해 사실을 알렸다고 합니다. 이후 개인정보보호위원회에 신고했습니다. 통신 업계 관계자는 "고객 정보 유출이 작업 실수로 이뤄진 것도, 치명적인 실수를 고객의 신고로 알게된 것도 LG답지 않다"고 말했습니다.
◇ 알고 보니 반쪽짜리 '온디바이스 AI'
이번 통화 정보 유출이 논란이 된 이유는 LG유플러스가 온디바이스 AI를 언급하며 통화 내용을 서버에 전송하지 않는다고 했는데 어떻게 정보가 유출됐느냐입니다.
온디바이스 AI는 클라우드 서버를 거치지 않고 스마트폰, PC, 자동차 등 기기 자체에서 AI 연산을 수행하는 기술을 의미합니다. 클라우드 의존도를 낮춰 응답 속도를 높이고 보안을 강화하며, 비용 절감 효과를 제공한다고 알려져 있습니다. 특히 데이터가 외부 서버로 전송되지 않고 기기 내부에서 처리되므로, 기업과 개인의 정보보호 측면에서 선호되는 기술입니다.
회사 측은 통화 음성과 내용 전문은 서버에 저장되지 않지만, 통화 내역, 요약 등은 서버에 6개월간 저장된다고 설명했습니다. LG유플러스 측은 "모바일 메신저도 기기를 바꾸면 이전 데이터가 따라오는 것처럼 통화 정보를 6개월간 한시적으로 서버에 저장한다"며 "이 부분은 개인정보 처리 방침에도 나와 있다"고 설명했습니다.
전문가들은 온디바이스 AI가 무조건 안전하다고 보기는 어렵다고 말합니다. 홍인기 경희대 전자공학과 교수는 "온디바이스 AI가 클라우드를 통해 연결되지 않아 보안 측면에서 상대적으로 유리한 것은 맞지만, 이번 사례에서 알 수 있듯이 네트워크가 연결돼 있다면 꼭 안전하다고 볼 수는 없다"고 했습니다.
미국 텍사스에 있는 스파이스(SPIES) 연구소의 칼리안 나카, 지미 다니, 니테시 삭세나가 '온디바이스 AI에 적용된 소규모언어모델(SLM)의 신뢰도와 윤리성'을 평가한 결과에서는 온디바이스 SLM이 서버 기반 SLM보다 훨씬 낮은 신뢰도를 보인다는 결과가 확인되기도 했습니다. 특히 온디바이스 AI가 개인정보를 유출할 위험이 더 크다고 연구진은 봤습니다.
◇ 순항하던 익시오에 찬물… 이용자 신뢰 회복 가능할까
이번 통화 정보 유출 사고가 단순한 직원의 실수인지 혹은 익시오 개발 과정에서 예상하지 못한 오류인지는 조사 결과가 나와야 정확해집니다. LG유플러스 측은 단순 실수에서 비롯된 것이지 해킹과는 다르다고 강조합니다.
아이지에이웍스의 데이터 분석 솔루션 모바일인덱스에 따르면 익시오의 국내 모바일 월간활성이용자(MAU)는 올해 4월 처음 1만명을 돌파한 후 6월 7만명까지 증가했습니다. 지난달에는 32만6715명을 기록했습니다. 에이닷에 비하면 한참 밀리지만, 성장 속도는 빠릅니다. SK텔레콤 에이닷의 MAU는 올 10~11월 181만~187만명으로 주춤한 상황입니다.
LG유플러스 측은 유출된 정보에 주민등록번호, 여권번호 등 고유 식별 정보와 금융 정보는 포함되지 않은 것으로 확인됐다고 했습니다. 하지만, 회사 측의 해명에도 고객들이 익시오를 신뢰하고 사용할 수 있을지는 의문입니다. 직원 실수가 재발된다면 유사한 정보 유출 사고가 일어날 수 있기 때문입니다.
김용대 카이스트 전기전자공학부 교수는 "LG유플러스의 통화 정보 유출 사고는 정보 유출을 방지하는 장치가 없을 때 실수 혹은 고의로 유사 사고가 얼마든지 생길 수 있다는 것을 보여줬다"며 "개인정보 보호와 보안을 고려한 개발 및 운영 프로세스가 만들어져야 한다"고 말했습니다.